Criado um site falso do BleachBit para distribuir o AZORult Stealer

O pesquisador de segurança Benkow descobriu que foi criado um site falso do BleachBit para distribuir o AZORult Stealer. Confira os detalhes dessa ameaça.

O BleachBit é uma ferramenta que pode ajudar os usuários do Windows, Linux e macOS a recuperar espaço em disco, excluindo dados descartáveis.

Criado site falso do BleachBit para distribuir o AZORult Stealer

Ele possui mais de um milhão de downloads no Sourceforge desde o lançamento original e também está disponível diretamente no site do desenvolvedor.

Criado site falso do BleachBit para distribuir o AZORult Stealer

Os usuários de utilitários que recuperam espaço em disco devem pensar duas vezes se alguém tentar fazer o download do BleachBit.

Os cibercriminosos criaram uma página web que se propõe a ser o site oficial da ferramenta, mas, ao contrário, espalha o ladrão de informações do AZORult.

O AZORult é um ladrão de informações de longa data, vendido por cerca de U$$ 100 em fóruns underground russos.

Ele pode coletar vários tipos de dados confidenciais de um computador infectado, como histórico do navegador, logons salvos, credenciais armazenadas em clientes FTP, arquivos de área de trabalho e de texto e muito mais.


Ao projetar o site, os maus atores prestaram atenção nos detalhes gerais e usaram o domínio bleachbitcleaner[.]com – atualizado pela última vez em 27 de agosto – para enganar muitos usuários a pensarem que é o lar legítimo do utilitário.

Eles também criaram uma página Web que parece bastante atraente, apesar de ter apenas um link disponível, o que leva ao AZORult.

Isso, juntamente com o tutorial em vídeo incorporado para uma versão beta do programa lançado em 2009, deve soar alguns alarmes.

O pesquisador de segurança Benkow fez a descoberta e seguiu a trilha do payload até a plataforma de compartilhamento de arquivos do Dropbox.

Ele também rastreou o servidor que recebeu os dados retirados dos computadores infectados para twooo[.]cn.

O binário do doppelgänger malicioso pode ter o mesmo nome que o arquivo original, mas não possui o ícone oficial.

Upload de dados roubados

Uma vez instalado, o AZORult entra em contato com o servidor de comando e controle (C2) para obter instruções.

Ele pode coletar histórico do navegador, credenciais de login, cookies e arquivos em locais específicos.

Os usuários que praticam o truque baixam um arquivo ZIP do Dropbox e, quando iniciado, coletam automaticamente os dados da vítima e os enviam para os servidores de comando e controle do invasor.

O arquivo ZIP e o executável são capturados por vários mecanismos antivírus na plataforma de verificação VirusTotal.

A taxa de detecção não é alta; o contêiner foi marcado por 14 produtos, enquanto o binário foi identificado por 25.

Não está claro como os criminosos direcionam as vítimas para o site falso.

Dado o perfil do BleachBit, no entanto, o invasor pode ter uma boa classificação nos mecanismos de pesquisa ou enviar manualmente o site falso em fóruns de suporte ou para usuários que desejam apagar dados confidenciais com segurança.

Então, muito cuidado e lembre-se: o site oficial do BleachBit é https://www.bleachbit.org/

O que está sendo falado no blog

Veja mais artigos publicados neste dia…

Deixe um comentário

Sair da versão mobile